Как счет-фактура обернулась вирусом и почему электронные письма стали такими опасными?
По данным Trustwave SpiderLabs, на Латинскую Америку обрушилась новая фишинговая кампания, в ходе которой системы Windows заражаются вирусами через электронные письма.
Цепочка атаки начинается с рассылки электронных писем с вложением в виде ZIP-файла. После распаковки архива открывается HTML-файл, который перенаправляет пользователя на загрузку мошеннического файла, маскирующегося под счет-фактуру. Отправитель электронного письма использовал адрес с доменом «temporary[.]link», а в качестве почтового агента указан Roundcube Webmail.
Особенностью HTML-файла является ссылка, ведущая на страницу с сообщением о приостановке аккаунта. Это происходит при подключении не из Мексики. Однако при доступе с IP-адреса из Мексики, открывается страница с CAPTCHA от Cloudflare Turnstile, что является вводной для загрузки вредоносного RAR-архива. Данный архив содержит скрипт PowerShell, собирающий информацию о системе и проверяющий наличие антивирусного ПО на зараженном компьютере.
Сообщение о приостановке аккаунта при доступе из другого региона (слева) и страница с CAPTCHA при подключении из Мексики (справа)
В архив включены строки, закодированные в Base64, предназначенные для выполнения PHP-скриптов, определяющих страну пользователя и загружающих ZIP-файл с Dropbox, содержащий «множество подозрительных файлов». Эксперты Trustwave отмечают, что данная кампания имеет схожие черты с предыдущей кампанией ботнета Horabot, направленной против испаноязычных пользователей в Латинской Америке.
Специалисты отметили, что использование новосозданных доменов и предоставление к ним доступа только в определенных странах — это еще один метод уклонения. Особенно если домен ведет себя по-разному в зависимости от целевой страны.
Code:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phishing-deception-suspended-domains-reveal-malicious-payload-for-latin-american-region/
05-02-2025, 04:38 PM
Linear Mode
